《(中文版)第八章 网络管理安全课件》由会员分享,可在线阅读,更多相关《(中文版)第八章 网络管理安全课件(52页珍藏版)》请在金锄头文库上搜索。
1、1,第八章,网络管理安全,主讲:郑丽娟 石家庄铁道大学信息科学与技术学院,2,内容回顾,1,理解SET 的participants的含义; 2,理解dual signature(双重签名) 的含义和目的;,3,SET概述,SET 参与者: 图 7.8 ( in book) 给出了SET系统,包括: 持卡者(Cardholder): 在电子环境中,消费者与公司客户是通过网上的个人计算机与商家发生联系的。 持卡者是由发卡机构签发的支付卡。,4,5,SET 概述,商家(Merchant): 商家是能够售卖货物或服务给持卡者的个人或组织。 通常,这些货物或服务是通过Web网址或电子邮件提供的。能够接受
2、支付卡业务的商家必须与代理商具有业务联系。 发卡机构(Issuer): 发卡机构是能够为持卡人提供致富卡的金融机构(如银行)。通常,帐号通过邮件或个人申请开设。,6,SET 概述,代理商(Acquirer): 代理商是为商家建立帐户并处理支付卡认证与支付事务的金融机构。 代理商的作用是帮助商家对给定卡上帐号的有效性和容许支付的信用限额进行认证,同时为商家提供电子转账支付。,7,SET概述,支付网关(Payment gateway): 支付网关是由代理或指定的第三方运作的专门处理商家支付信息的功能设施。支付网关介于 SET 和现有的银行卡支付网络之间 完成认证和支付功能。,8,SET概述,认证机
3、构 (CA): 认证机构是一个为持卡者、商家和支付网关签发X.509v3公钥证书的可信实体。 SET 的成功很大程度上是因为 CA 基础设施的存在及其发挥的重要作用。,9,双重签名,In summary(双重签名的简化概念): 1, 商家受到 OI 并验证签名。 2, 银行收到 PI 并验证签名。 3, 消费者把 OI 和 PI 联系起来并能够证明这种联系。,10,概述,SNMP的基本概念 SNMPv1 的社区设施,11,概述,SNMP的基本概念 SNMPv1 的社区设施,12,网络管理体系结构,网络管理系统由一组网络监测与控制工具组成, 它集成了以下几个特点: 具有单个操作界面,拥有功能强大
4、且用户友好的命令集 以实现大部分身之所有的网络管理任务。,13,网络管理体系结构,需要最少的分立设备。也就是说,网络管理所需要的大部分软硬件被集成到现有的用户设备中。,14,网络管理体系结构,应用于 SNMP中的网络管理模型 包括以下几个主要元素: 管理站(Management station) 管理代理(Management agent) 管理信息库(Management information base) 网络管理协议(Network management protocol),15,网络管理体系结构,管理站 通常是单机设备,但是也可能是实现功能的共享系统。无论在哪种情况下,管理战斗充当着网
5、络管理器和网络管理系统之间接口的角色。,16,网络管理体系结构,管理代理是网络管理系统中的另一个主动部件。 网络主机、网桥、路由器、网络集线器等一些网络关键平台均可以配备SNMP,从而可以通过网络管理系统被管理站管理起来。 管理代理负责应答管理站发出的信息请求和操作请求,也可以将重要信息以异步方式主动提供给管理站。,17,网络管理体系结构,为了管理网络中的资源, SNMP使用客体来描述每个资源。 客体的本质是数据变量,它描述管理代理在某一方面的属性。 客体的集合构成了MIB(management information base),18,网络管理体系结构,管理站和代理通过网络管理协议进行互联.
6、 TCP/IP网络管理 使用 SNMP协议。 这个协议具有以下几个关键功能: Get: 管理站用来检索代理上的客体值,19,网络管理体系结构,Set: 管理站用来设置代理上的客体值 Notify: 代理用来向管理站通知重要事件,20,网络管理协议体系结构,SNMP 规范于1988年发布,并迅速成为主要的网络管理标准。 许多厂商都提供基于SNMP协议的单机形式的网络管理工作站 ,多数 网桥、路由器、工作站、以及 PC机的厂商提供 SNMP 代理包, 从而使得它们的产品可以接受 SNMP 管理站的管理。,21,网络管理协议体系结构,SNMP协议的三个规范: 基于TCP/IP网络的网络管理信息的结构
7、与标识 (RFC 1155): 描述在MIB中如何被定义为管理客体。 基于 TCP/IP的互联网中网络管理的管理信息库: MIB-II (RFC 1213): 描述 MIB中所包含的被管客体 简单网络管理协议 (RFC 1157): 定义用于管理这些客体的协议,22,网络管理协议体系结构,SNMP 是一个应用层协议,它是 TCP/IP 协议簇的一部分。它使用RFC 768中定义的用户数据报协议(User Datagram Protocol UDP)进行操作。,23,网络管理协议体系结构,图 8.1 (in book) 阐明了SNMP的协议文本。,24,25,网络管理协议体系结构,从管理站发出的
8、 三种类型的消息来代表一个管理应用程序 :GetRequest, GetNextRequest and SetRequest. 代理用 GetResponse消息来确认这三种消息,该消息被传递给管理应用程序。,26,网络管理协议体系结构,因为 SNMP 使用无连接的 UDP协议,因此SNMP 自身也是无连接协议。 也就是说,在管理站和代理之间不用维护连接。 相反,它们之间的每次数据交换都是独立的事务。,27,委托代理,为了能够管理那些没有实现SNMP的设备,人们提出了委托代理的概念。 在这个方案中,一个 SNMP 代理可以作为一个或者更多其它设备的委托代理; 这也就是说,SNMP 代理从当了真
9、正被代理的设备的角色。,28,委托代理,图 8.2 (p255, in book) 显示了这种协议经常采用的一种体系结构。 管理站查询相关设备信息时,它将查询消息发送给这个设备的委托代理。 委托代理将每一条查询消息转换为代理设备所使用的管理协议后发送给这个设备的委托代理。当委托代理收到对查询应答时,它会将应答转发给管理站。,29,30,SNMPv2,SNMP 的强大之处在于它的简单性。 SNMP 在工具包中提供了一组基本的网络管理工具,这些工具既易于实现又易于配置。 可是,随着 用户开始越来越依赖于 SNMP , 而不断地增加它的工作量来管理不断膨胀的网络,SNMP的缺陷也变得特别明显。这些缺
10、陷可以分为以下三类: 缺少对分布式网络管理的支持,31,SNMPv2,功能不足 安全性不足 1993年发布的 SNMPv2解决了前两种缺陷, 1996年又发布了修订版。 SNMPv3中解决了安全性不足的问题。,32,分布式网络管理,在传统的集中式管理方案中,在配置中有一台主机扮演着网络管理站的角色; 除此之外,还可能会有一到两台主机作为备用管理站。 网络中的其他设备 包括代理软件和MIB, 用于管理站进行监测和控制。,33,分布式网络管理,随着网络 规模的不断扩大和流量的不断增加,这种 集中式系统难以运转。因为管理站承受了太大的压力,而且代理设备的报告必须穿过整个网络才能单打管理中心,从而造成
11、 网络流量过大。 在这种环境下,采用分布式管理方式更为可行 (如图 8.3所示).,34,35,分布式网络管理,SNMPv2既可支持 高度集中的网络管理策略,也可以支持分布式的网络管理策略。 在第二种情况下,一些系统同时作为管理站和代理运行。 当作为代理时,系统接受上层管理系统的命令。其中一些命令访问该代理的本地 MIB.,36,功能增强,图 8.1 (in book) 列出了SNMPv2协议中的新增功能。,37,38,功能增强,表8.1 列举了SNMPv2协议中的新增功能。 表中的两个协议均定义为使用 协议用户数据单元 (PDU)通信的一组命令。 在 SNMPv1中,有5中命令。 SNMPv
12、2 中除了包含 SNMPv1 中的所有命令之外还增加了两条命令。 其中最重要的是一条 Inform 命令。 这条命令在管理站之间发生。类似于Trap命令,Inform命令中也可以包含与发送端所处环境或发生的事件相关的信息。,39,功能增强,另一条新命令 GetBulk, 使用这条命令,管理器可以一次性检索大量数据。 特别地,GetBulk 命令的设计目的是为了使用一条命令来传输一个完整的表格。,40,概述,SNMP的基本定义 SNMPv1 的社区设施,41,共同体和共同体名称,与其他分布式类似, 网络管理包含多个应用实体之间通过应用层协议所进行的交互。 在 SNMP 网络管理中, 应用实体是指
13、使用SNMP的管理器 应用程序 和 代理应用程序。,42,共同体和共同体名称,我们还需要把SNMP网络管理 看作是在一个代理和一组管理器之间的关系。每一个代理控制本地 MIB ,而且必须能够支持多个管理器对 对本地 MIB的使用。 这个控制包括一下三个方面: 认证服务(Authentication service): 代理希望只有通过认证的管理器才能访问 MIB 。,43,共同体和共同体名称,访问策略(Access policy): 代理希望对不同 的管理器赋予不同的访问权限。 委托代理服务(Proxy service): 代理可以作为其他代理的委托代理。 这可能包含为委托代理系统中的其他代理
14、实现认证服务和(或者)访问策略。,44,共同体和共同体名称,SNMP 共同体 是 一个 SNMP 代理和 SNMP 一组管理器之间的关系,共同体定义了认证、访问控制和委托代理特性。 代理为每个共同体定义了唯一的共同体名 (在该代理中), 共同体内部的管理器都会被提供一个共同体名, 并且必须在所有的读取或者设置操作中使用该共同体名。,45,认证服务,SNMPv1 认证服务的目的 是向接收者保证SNMPv1 消息来自与该接受者所要求的源。 SNMPv1 只提供了一个价值不高的认证方案。 每一个管理器发送给代理的消息 (get 或者 put 请求) 都必须包含一个共同体名。这个名字作为口令,如果消息
15、发送者知道口令则认为消息是可信的。,46,访问策略,通过定义共同体, 代理可以将它的 MIB 访问限制于一组选定的管理器。 通过使用多个共同体,代理能够为不同的的管理器提供不同种类的 MIB 访问。 访问控制包括两个方面:,47,访问策略,SNMP MIB 视图:MIB里客体的子集。对于每一个共同体代理,可以为其定义不同的 MIB 视图。 视图中的一组客体可以不在同一棵 MIB子树中。 SNMP 访问模式: 集合 READ-ONLY, READ-WRITE中的一个元素。 每一个共同体都定义了一个访问模式。,48,访问策略,MIB 视图 和访问模式的组合被称为 SNMP 共同体配置。 因此, 共
16、同体配置由一个定义在代理中的 MIB子集 ,和对那些客体的访问模式。,49,访问策略,共同体配置和每个代理定义的共同体相关联。SNMP 共同体和 SNMP 配置合称为SNMP 访问策略。 图 8.4 (in book) 描述了前面刚介绍的这些概念。,50,51,委托代理服务,共同体概念在支持委托代理服务上是很有用的。回想一下, 委托代理是代表其他设备实现网络管理的SNMP 代理。 一般来讲, 其他设备是外来的,这意味着它们不支持 TCP/IP 和SNMP。 在某些情况下,被代理系统也可能支持 SNMP 而委托代理则用于把代理设备和网络管理习题之间的交互减到最少。,52,本次课需要大家重点掌握的知识点,1,解SNMP 所包括的4个关键元素; 2,理解SNMP代理的功能;,
